Kurzer, aber dringender Hinweis für alle, die eine eigene WordPress-Instanz betreiben: Das Team von WordPress hat die Version 7.0.2 veröffentlicht. Da es sich hierbei um ein reines Sicherheitsrelease handelt, solltet ihr eure Installationen schleunigst auf den neuesten Stand bringen. Die Entwickler stufen die geschlossenen Lücken als kritisch beziehungsweise sehr riskant ein. Aufgrund der Schwere der Probleme hat das WordPress-Sicherheitsteam bereits automatische Zwangs-Updates im Hintergrund für alle betroffenen Webseiten angestoßen.
Konkret werden mit dem Update zwei gravierende Sicherheitslücken geschlossen. Zum einen geht es um eine erleichterte SQL-Injection, die von den Sicherheitsforschern des Teams TF1T, dtro und haongo entdeckt wurde. Die zweite Schwachstelle betrifft ein REST-API-Problem (Batch-Route Confusion) in Kombination mit einer SQL-Injection, die im schlimmsten Fall eine Remote-Code-Execution (RCE), also das Ausführen von Schadcode aus der Ferne, ermöglicht. Diese Lücke wurde von Adam Kues gemeldet.
Das Update betrifft übrigens nicht nur die allerneueste WordPress-Schiene. Die Entwickler haben entsprechende Backports für ältere Versionen bereitgestellt, da diese ebenfalls verwundbar sind. WordPress 6.9 ist von beiden Lücken betroffen, weshalb hierfür die Version 6.9.5 bereitsteht. Wer noch mit WordPress 6.8 unterwegs ist, ist zumindest von der ersten SQL-Injection betroffen und sollte auf Version 6.8.6 aktualisieren. Auch die aktuelle Beta-Version von WordPress 7.1 wurde bereits mit der Beta 2 abgesichert. Versionen vor WordPress 6.8 sind laut den Entwicklern nicht von den Schwachstellen betroffen.
Wer die automatischen Hintergrund-Updates deaktiviert hat, sollte schleunigst im WordPress-Dashboard unter Aktualisierungen den Button Jetzt aktualisieren anklicken oder sich das Paket direkt herunterladen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
